漏洞风险提示（20220810）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1Expense Management System SQL注入漏洞（ CVE-2022-2688）
一、漏洞描述：     
       
       
        Expense Management System是Carlo Montero个人开发者的一个费用管理系统。
        SourceCodester Expense Management System存在SQL注入漏洞，该漏洞源于report.php组件中fetch_report_credit函数的POST参数处理程序对参数from/to的操作会导致sql注入。该攻击方法已经被公开并且可以由远程发起，存在被利用的风险。

二、风险等级：
           高危
三、影响范围：
        SourceCodester Expense Management System
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.sourcecodester.com

---

2 Wedding Hall Booking System 跨站脚本漏洞（CVE-2022-2689）
一、漏洞描述：     
       
        Wedding Hall Booking System是Carlo Montero个人开发者的一个简单的 PHP 标题婚礼大厅预订系统。
        Wedding Hall Booking System存在跨站脚本漏洞，该漏洞源于其/whbs/?page=contact_us组件中Contect界面的未知函数对参数Message的操作会导致跨站脚本。该攻击方法已经被公开并且可以由远程发起，存在被利用的风险。
二、风险等级：
          高危
三、影响范围：
        Wedding Hall Booking System
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.sourcecodester.com/p ... ee-source-code.html

---

3Gym Management System SQL注入漏洞（CVE-2022-2687）
一、漏洞描述：     
       
        SourceCodester Gym Management System是美国SourceCodester公司的一个体育馆管理建站系统。该系统由C＃ 和 sql server 为开发技术，具备客户和供应商管理、产品管理、销售管理 、       
        Gym Management System存在SQL注入漏洞，该漏洞源于其未知功能函数对参数user_pass的操作会导致sql注入。该攻击方法已经被公开并且可以由远程发起，存在被利用的风险。
二、风险等级：
          高危
三、影响范围：
        Gym Management System
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.sourcecodester.com/p ... em-project-php.html

---

4 TCL LinkHub Mesh Wi-Fi 安全漏洞（  CVE-2022-24005）
一、漏洞描述：     
       
        TCL LinkHub Mesh Wi-Fi是TCL公司的一款路由器。
        TCL LinkHub Mesh Wi-Fi MS1G_00_01.00_14版本存在安全漏洞，该漏洞源于GetValue功能存在缓冲区溢出漏洞，特制的配置值可能导致缓冲区溢出。
二、风险等级：
           高危
三、影响范围：
        TCL LinkHub Mesh Wi-Fi MS1G_00_01.00_14
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://mobile-support.tcl.com/g ... mesh-wifi-ms1g.html